FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

技術情報 の記事一覧

ネイティブVLANをデフォルト状態(VLAN1)のままにしないほうがよい理由 CCNA CCNP

2019.10.10 (Thu)

少なくともCiscoスイッチでは、トランクポートでネイティブVLANを使用する必要があり、
ほとんどの場合、他のベンダーがそれを異なる方法で使用する必要があります。
ただし、セキュリティリスクはネイティブVLANとして設定されているVLAN 1
(デフォルトVLAN)に関係していることを覚えておく必要があります。








ネイティブVLANをVLAN 1から、作成した新しいVLANに変更する必要があります。
ネイティブVLANは、DTP、VTP、CDPフレームなどの多くの管理データ、
およびスパニングツリーのBPDUに使用されます。

新しいスイッチを取得すると、VLAN 1が存在する唯一のVLANになります。
これは、すべてのポートがデフォルトでこのVLANのメンバーであることも意味します。

VLAN 1をネイティブVLANとして使用している場合、
このVLANの一部として構成されていないすべてのポートがあります。
そのため、攻撃者が使用されていない(使用されていないため)設定されていないポート
に接続すると、管理VLANにすぐにアクセスでき、VLANホッピングを許可したり、
不要なパケットをキャプチャしたりする可能性のあるパケットを読み取って挿入できます

スイッチ/ルーターへのSSH、またはさらに悪いことにSSHを確認します
(Telnetを許可しないでください)。

常にVLAN 1を使用しないことをお勧めします。
したがって、攻撃者または不要なクライアントがVLAN 1に接続して終了し、
使用可能なゲートウェイなど、このVLANに何も構成されていない場合、
それらはほとんどスタックしてどこにも行けません、

ネイティブVLANはVLAN 900のようなものですが、
デフォルトのVLANではないため、ポートにアクセスする可能性は低くなります。

多くのエンジニアは未使用のポートを無効にせず、
重要なものにVLAN 1を使用すると、802.1xなどを使用しない限り
アクセス可能な状態になります。

エンジニア/ネットワーク管理者はにとって、
攻撃者に利益をもたらす小さなセキュリティホールがあります。

ただし、VLAN 1が使用されておらず、
ポートがデフォルトのままになっている場合は大きな問題ではありません。






スポンサーサイト



キストエディター「EmEditor」の自動更新機能を悪用し、マルウェアがインストールされた可能性

2014.08.21 (Thu)




詳細はこちら


200万円以下のロードバランサの性能比較

2013.12.09 (Mon)
エントリーモデルのロードバランサ比較資料を無料でGETできるチャンス!
マーケットシェア情報「国内L4-L7 スイッチ市場(2012年)」、
BIG-IPシリーズの常識を打ち破るエントリーモデル「BIG-IP 800」の性能やスペック、
各社製品との比較データなどを掲載。今押さえておかないと選定時に損をする!?

導入担当者、SIerは必見の資料です。






■<徹底比較>BIG-IP 800 vs 各社製品
・設定パラメータ数比較
・A社ローエンドモデルとの機能比較
・A社ローエンドモデルとのスペック比較
・Application Delivery Controller機能比較
・A社ローエンドモデルとのハードウェア比較  ほか




閲覧はこちらから
IT製品情報/キーマンズネット







応援クリックをお願いします。
にほんブログ村 IT技術ブログ ネットワーク・SEへブログ王ランキングに参加中!



 | HOME |  Next »